每天學習一點知識,讓工作與生活更精彩
当前位置:首页 » 安全设置 » ospf报文认证是基于网络安全
扩展阅读
网络共享打印机很卡 2025-06-16 10:30:45
苹果电脑22六核 2025-06-16 10:30:39
手机usb共享网络效果 2025-06-16 10:30:38

ospf报文认证是基于网络安全

发布时间: 2023-05-30 09:08:21

1. OSPF到底是什么一文了解OSPF基本概念和工作原理

技术干货!

OSPF是开放式最短路径,是 一种基于链路贺亮状态的内部网关路由协议,通常用在中大型网络,协议号89,通过发送LSA进行路由计算。

关于OSPF的基本术语:

Router-ID:用于在自治系统中唯一标识一台运行OSPF的路由器,也就是这台路由器的名字,它是一个32位的无符号整数。

Router ID选举规则如下

1、优先级最高的是手动配置的Router ID(建议手动配置)

2、如果没有手动配置Router ID,路由器会自动选择使用本地回环口中最大的IP地址作为Router ID

3、如果没有配置本地回环口,路由器使用物理接口中最大的IP地址作为Router ID

一句话总结:ROUTER-ID越大越优先

2、Area:OSPF Area用于标识一个OSPF的区域。

区域是人为我们人为地将设备划分为不同的组,并不是真实存在的,每个区域用区域号(Area ID)来标识,单区域的area ID为0.0.0.0

3、度量值:OSPF使用Cost(开销)作为路由的度量值。cost开销值计算的是到目的地的每个出接口总和

P2P点到点 链路

广播(Broadcast)型链路

NBMA(非广播多路访问)

P2MP 点到多点

OSPF一共定义了5种类型的报文,不同类型的OSPF报文有相同的头部格式。

HELLO 报文 用来发现和维乎燃护邻居关系

DD报文 交换链路状态信息摘要

LSR报文 请求链路状态信息

LAU 报文 正式发送详细的链路状态信息

LSA 报文 确认收到LSA

① down 初始状态:还没有启用OSPF,开始发送hello包前的状态

② init:开始向外发送携带邻居信息的hello包

③ 2-way:双方都接受到了相邻路由器的hello包,并且包中有对方的路由信息,进入2way状态,这个状态中需要做DR/BDR选举,选出DR、BDR

④ ExSTART:开始进行fisrt DD包的交换,进行主从选举

⑤ Exchange:主从选举完毕之后,进行DBD包的传送,直到最后一个发完

⑥ loading:路由器发送LSR请求自己自己需要的条目的,等待对方使用发送完整的LSA具体信息,即LSU

⑦ Full:两边的LSDB表完全相同,将进行full状态,此时邻接关系完全建立。

Router ID重复 Router ID 是路由器的唯一标识,一定不能重复

同一网段路由器子网掩码不一禅顷宽致,子网掩码不一致那么两台路由器就不是同一网段,不能进行通信

3.网络类型不一致

4. Hello间隔、死亡时间不一致

5. DR选举问题,选举不出

6. DR优先级全为0,停在2-Way。

7. MTU不一致(DBD交互问题,停留在 Exstart、 Exchange状态)

8.接口绑定了ACL,过滤了OSPF协议报文

2. OSPF认证是什么

#ospf有基于区域的认证(如圆携并果做了AREA认证,所有在本区域的Router都要做区域认隐扮证)和基于接口的认证
#ospf支持明文认证和md5认证(类型0:nul认证,类型1:明文认证,类型2:md5认证)是基于邻居的认证,不是整个area有效橘迹.

3. 什么是OSPF

路由器能够靠设定密码来参与路由信息域,通过这种方法就可以验证OSPF报文。默认情况下,路由器使用空验证,也就是说通过网络进行路由信息的交换是不验证的。OSPF网络的验证有两种方法:简单的密码验证(Simple PasswordAuthentication)和MD5验证(Message Digest Authentication)。

1. 启动OSPF

在NE80核心路由器上启用OSPF路由协议包含以下两步。在全局配置模式下:
1 激活OSPF进程,在特权模式下执行:
router ospf
2 将端口划分到特定的区域中:
network <network or IP address><mask><area-id>

在Cisco的路由器上激活OSPF协议时还要指定process-id, 其是一个路由器上的本地有效地十进制数,不需要同其他路由器上的Process-id 相匹配。通过该process-id, 可以在一台路由器上运行多个OSPF进程。但是不推荐在同一台路由器上创建多个OSPF进程,举激因为那样会使路由器增加额外正毁袜的开销。

Network命令是把一个端口分配到某个区域中的一种方法。掩码是作为一种快捷余余方式使用,可将同一个区域中的一系列端口列表用一行配置命令就可完成。掩码包含通配符“0” 和“1”,“0”位表示匹配,“1”位表示不匹配。如:0.0.255.255 表示匹配网络号的前两个字节。

Area-id 是端口所属的区域号,它是0到4294967295之间的一个整数,也可采取与IP地址类似的格式,如0.0.0.100 表示区域号为100.

RTA#
interface GigabitEthernet5/0/0
ip address 192.213.11.1 255.255.255.0
interface GigabitEthernet5/0/1
ip address 192.213.12.2 255.255.255.0
interface GigabitEthernet5/1/0
ip address 128.213.1.1 255.255.255.0
interface GigabitEthernet5/1/1
No ip address
router ospf 100
network 192.213.0.0 0.0.255.255 area 0.0.0.0
network 128.213.1.1 0.0.0.0 area 23

第一句network命令把E0和E1端口分配到区域0.0.0.0中,第二句network命令将E2分配到区域23中。注意0.0.0.0的掩码表示匹配所有的IP地址位。如果遇到掩码问题时,这是一个非常简便有效的方法来将一个端口分配到某个特定区域中。

2. 简单的密码验证

简单的密码验证允许一个区只配置一个密码(Password),同一个区中的路由器要想参与路由,他们必须配置同一个密码。这种方法的缺点是易受攻击,任何人用线路分析仪都能从网络上窃取密码。使用下面的命令启动密码验证:

ip ospf authentication-key <key> (在特定的端口配置模式下设置)area <area-id> authentication (在路由配置模式"(config-router-ospf)"下设置)

例如:
interface GigabitEthernet1/0/0
ip address 10.10.10.10 255.255.255.0
ip ospf authentication-key mypassword
router ospf 10
network 10.10.0.0 0.0.255.255 area 0
area 0 authentication

3. MD5 验证
MD5 (Message Digest Authentication) 是采用加密验证,每个路由器上都必须配置密码和密码ID。 路由器使用一种算法,基于OSPF报文、密码和密码ID产生一个“Message Digest”,然后加到OSPF报文中。不像简单密码验证,MD5验证密码不在网络上传输。每个OSPF报文中还包含有一个序列号以保护网络不受攻击。

这种验证方法可以更改密码而不中断网络业务,这有助于网络管理员在线更改OSPF验证密码。如果一个端口配置了一个新的密码,路由器将会向网络发送同一个报文的多个拷贝,每个报文用不同的密码来验证。当路由器检测到所有的邻居都采纳了新的密码后就会停止发送这种报文的副本。用下面的命令来配置MD5验证:

ip ospf message-digest-key <keyid> md5 <key> 在特定的端口配置模式下设置
area <area-id> authentication message-digest 在路由配置模式
"(config-router-ospf)"下设置)

例如
interface GigabitEthernet1/0/0
ip address 10.10.10.10 255.255.255.0
ip ospf message-digest-key 10 md5 mypassword
router ospf 10
network 10.10.0.0 0.0.255.255 area 0
area 0 authentication message-digest

4. OSPF的认证问题

认证是在两台路由器之间桥尘建立邻居时用到的。
ospf的认证信息是封装在hello报文里的,如果两个路由器封装的认证信息不一样,就不能建立ospf邻居。

ping的通,跟ospf认证没有关系。
ping用的粗消敬是icmp协议,icmp报文封装到ip里。
ospf的报文则是直接封装到ip里。

他们的机制是不同的岩慎。

希望能帮到你,如果不理解,可以追问。

5. ospf是什么

OSPF协议OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在拿猜单一自治系统(autonomous system,AS)内决策路由。与RIP相对,OSPF是链路状态路由协议,消银型而RIP是距离矢量路由搏颂协议。

6. eNSP模拟实验-OSPF的认证

    OSPF支持报文验证渣袭功能,只有通过验证的报文才能接穗李受,否则将不能建立邻居关系。OSPF协议支持两种认证方式-区域认证和链路认证。使用区域认证时,一个区域中的所有路由器在该区域下的认证模式和口令必须一致;OSPF链路认证相比于区域认猜梁迟证更加灵活,可专门对某个邻居设置单独的认证模式和密码。如果同时配置两种认证,优先使用接口认证建立OSPF邻居。

    每种认证方式又分为简单验证、MD5验证、key chain验证模式。简单验证模式在数据传输过程中,认证密钥和密钥ID都是明文传输,很容易被截获。MD5验证模式下的密钥经过MD5加密传输,相比于简单验证模式更加安全。key chain验证模式可以配置多个密钥,不同的密钥可以单独设置生效周期。

1、按照图示配置路由器接口地址和loopback环回地址。

2、搭建OSPF网络。注意R2的不同接口需要需要在不同区域,其他配置不罗列了。

[R1]ospf 1

[R1-ospf-1]area 1

[R1-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255

[R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0

[R2]ospf 1

[R2-ospf-1]area 0

[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255

[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0

[R2-ospf-1-area-0.0.0.0]area 1

[R2-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255

[R2-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255

3、area 1区域R1配置简单认证,密码huawei1。plain参数可以使得在查看配置文件时,口令均以明文显示口令。authentication-mode simple  huawei1,不加plain在查看配置文件时就会以密文方式显示,更加安全。

4、配置完成后,dis ospf peer brief查看OSPF邻居,发现R1 R2邻居关系中断了,因为仅仅在R1上配置了认证,导致R1 R2间的OSPF认证不匹配。继续配置R2 R4,验证模式一致,口令一致,邻居关系恢复。

5、R2 R3 R5 R6配置area 0区域密文认证。

[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3

6、链路认证配置。

    上面是使用区域配置,链路认证可以达到同样的效果,需要在OSPF的链路接口下都配置链路认证的命令,设置链路验证模式和口令等。

    在G0/0/1接口下配置链路认证,发现R2 R4间的OSPF邻居关系已经消失,因为同时配置两种认证,优先使用接口认证建立OSPF邻居。在R4没有配置链路认证外,R2 R4间的OSPF邻居关系不会i建立。

[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5

[R4-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5

配置完成后,R4的路由都正常,专门对邻居R1设置单独的认证模式和密码,其余都是区域认证。

7. 什么是OSPF

OSPF是指:内部网关搏困拍协议

OSPF协议是用于网际协议(IP)网络的链路状态路由协议。该协议使用链路状态路由算法的内部网尺好关协议(IGP),在单一自治系统(AS)基羡内部工作。

8. ospf认证是指什么,我知道分明文和密文,密文是指传送的LSA都是密文吗认证有什么用

ospf的认证是为了提高ospf的安全性的,是在两台路由器间启用。如不开启ospf的认证,那么任意两台启用ospf协议的三层设备相连后都能够交换ospf报文,那么网络中的信息都会被接入的设备得到,启用认证之后,两台设备若想交换信息,那么必须知道正确的密码,密码错误是无法建立邻接关系,也就不能交换信息,就好比你上QQ的时候必须有正确的用户名和密码,才能登录唯指胡(当指拦然这个QQ的例子不恰当,就是告诉认证的作用)。这样就能阻止非法用户接入到网络中获取网络的信息。明文和密文是在两个路由器间交换密码进行验证的时候,密码是以明文发送还是以密文发送,如以明文发送,那么在抓包的时候能够抓到该密码,若是密文,就是MD5加密后的乱码,和LSA没有任何关系,LSA是之后邻接关系建立完才发送逗肢的。